Ho fatto una scansione con Avg Anti rootkit Free il quale ha trovato una voce in C:/Windows/system32/drivers/aurseewj.sys (un nome casuale)

Questa voce ho provato a cercarla ma non la trovavo (ovviamente) inoltre non la trovavo anche in modalità provvisoria.

Ho deciso di tentare l'eliminazione con AVG anti rootkit il quale ha riavviato il computer e mi ha confermato l'eliminazione.
Tuttavia rifacendo la scansione con lo stesso programma, mi ritrovava una voce nella stessa cartella eppure il file aveva un nome diverso (sempre casuale)

Ho provato ad effettuare una scansione con il programma da modalità provvisoria
ma non me lo consentiva diceva di riavviare..

Ora ho scaricato Sophos Anti Rootkit e Avira AntiRootkit
Il Sophos non trova nulla
Avira queste altre tre voci:

Value data mismatch : HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Winlogon -> parseautoexec
Hidden value : HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version -> version
Hidden value : HKEY_LOCAL_MACHINE\Software\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version -> version


Le scansioni di questi ultimi due non le ho fatte da provvisoria...


Qualcuno mi dà una mano per favore?:help: :mc:


NB. Ho disabilitato il ripristino di sistema prima di scansionare ed eliminare.
NB2 uso AVG free edition - Zone Alarm - Spybot - Avg Anti Spyware - WinXp PRO SP2

hai già provato Gmer e Panda anti rootkit?
prima esegui gmer e posta qui il log, prima di incollarlo controlla se ci sono righe rosse ed eventualmente segnalale a parte ;)

http://paste-it.net/3768

gmer nn mi rileva nulla in rosso

Ho appena provato con Panda Antirootkit ma non trova nulla neanche lui

a questo punto potrebbe essere un falso positivo :boh:

solo Avg Anti rootkit mi segnala sto file...che cambia sempre nome...
è possibile fare qualcosa tramite una distro di linux? ho ubuntu 7.04 volendo...

a questo punto potrebbe essere un falso positivo :boh:

il fatto che abbia un nome casuale non gioca a suo favore

Ho trovato la causa, o almeno così sembra..

Il file sys in questione sembrerebbe dipendere da daemon tools
Ho trovato con gmer il suo equivalente nel registro di sistema e da li ho trovato tramite una ricerca nel registro che faceva riferimento proprio a daemon tools

che dire...non so ancora se sia dannoso, però forse non devo preoccuparmi..

Ho anch'io un problema simile, cioè solo AVG Antirootkit mi segnala la presenza di due rootkit che cambiano nome ad ogni riavvio e sono nella cartella C:/Windows/system32/drivers/*.sys. Il nome in genere inizia con a ed è seguito da 7 caratteri e/o numeri casuali. Nè gmer e nè altri antirootkit (Avira., Panda, Sophos, ecc..) segnalano nulla.
Proprio mentre stavo per chiedere aiuto qui mi sono imbattuto in un articolo che conferma che si tratta di driver di Daemon Tools.
Questo è l'articolo: What is A#######.sys (A+7 random characters) driver? Rootkit or not? (http://www.greatis.com/security/A%23%23%23%23%23%23%23.sys%20is%20a%20rootkit.htm)

efinalmente è stata fatta luce sul caso stranissimo :D